知名信息安全专家/调查记者Brian Krebs在本周三发文指出了此漏洞,他指出他在啥上周被一位不具名的安全研究者好友联系,利用的正是这一漏洞。这位信息安全研究者最早在一年前就发现并且尝试此漏洞,但从未得到一个正式的回复。当Krebs收到后就确认了研究者的发现,并且报告给USPS。
这一漏洞能够让任何已登录的USPS网站用户能够“向系统请求任何其它账号的账号详情”,利用了该网站验证机制API的通知递送服务Informed Visibilit缺陷,Krebs声称其能够查看到邮箱地址、用户名、用户ID信息、街道住址、电话号码等信息。
本文素材来自互联网